Управление удостоверениями устройств с помощью портала AzureManage device identities using the Azure portal

Azure AD предоставляет централизованное управление удостоверениями устройств.Azure AD provides you with a central place to manage device identities.

На странице все устройства можно выполнять следующие задачи:The All devices page enables you to:

  • Выявление устройств, включая:Identify devices, including:
  • Выполнение таких задач управления удостоверениями устройств, как включение, отключение, удаление или управление.Perform device identity management tasks like enable, disable, delete, or manage.
    • У принтеров и устройств Windows автопилота есть ограниченные возможности управления в Azure AD.Printers and Windows Autopilot devices have limited management options in Azure AD. Они должны управляться из соответствующих им интерфейсов администратора.They must be managed from their respective admin interfaces.
  • Настройте параметры удостоверений устройств.Configure your device identity settings.
  • Включить или отключить Enterprise State Roaming.Enable or disable Enterprise State Roaming.
  • Проверка журналов аудита, связанных с устройствамиReview device-related audit logs
  • Загрузка устройств (Предварительная версия)Download devices (preview)

Представление "все устройства" в портал AzureAll devices view in the Azure portal

Доступ к порталу устройств можно получить, выполнив следующие действия.You can access the devices portal using the following steps:

  1. Войдите на портал Azure.Sign in to the Azure portal.
  2. Перейдите к Azure Active Directory > устройства.Browse to Azure Active Directory > Devices.

Управление устройствамиManage devices

Существует два расположения для управления устройствами в Azure AD:There are two locations to manage devices in Azure AD:

  • Портал Azure > Azure Active Directory > УстройстваAzure portal > Azure Active Directory > Devices
  • Портал Azure > Azure Active Directory > Пользователи > выбрать пользователя > устройстваAzure portal > Azure Active Directory > Users > Select a user > Devices

Оба параметра дают администраторам возможность:Both options allow administrators the ability to:

  • Поиск устройств.Search for devices.
  • См. сведения об устройстве, включая:See device details including:
    • Имя устройстваDevice name
    • Идентификатор устройстваDevice ID
    • ОС и версияOS and Version
    • Тип соединенияJoin type
    • ВладелецOwner
    • Управление мобильными устройствами и соответствие требованиямMobile device management and compliance
    • Ключ восстановления BitLockerBitLocker recovery key
  • Выполнение таких задач управления удостоверениями устройств, как, включение, отключение, удаление или управление.Perform device identity management tasks like, enable, disable, delete, or manage.
    • У принтеров и устройств Windows автопилота есть ограниченные возможности управления в Azure AD.Printers and Windows Autopilot devices have limited management options in Azure AD. Они должны управляться из соответствующих им интерфейсов администратора.They must be managed from their respective admin interfaces.

Совет

  • Устройства Windows 10, присоединенные к гибридной среде Azure AD, не имеют владельца.Hybrid Azure AD Joined Windows 10 devices do not have an owner. Если вы ищете устройство по владельцу и не нашли его, выполните поиск по ИДЕНТИФИКАТОРу устройства.If you are looking for a device by owner and didn't find it, search by the device ID.

  • Если вы видите устройство "гибридная служба Azure AD присоединена" с состоянием "ожидание" в списке ЗАРЕГИСТРИРОВАНный столбец, это означает, что устройство синхронизировано из Azure AD Connect и ожидает завершения регистрации от клиента.If you see a device that is "Hybrid Azure AD joined" with a state "Pending" under the REGISTERED column, it indicates that the device has been synchronized from Azure AD connect and is waiting to complete registration from the client. Дополнительные сведения о планировании гибридной реализации присоединение к Azure AD.Read more on how to plan your Hybrid Azure AD join implementation. Дополнительные сведения см. в статье часто задаваемые вопросы об устройствах.Additional information can be found in the article, Devices frequently asked questions.

  • Для некоторых устройств iOS, имена которых содержат апострофы, потенциально можно использовать другие знаки, которые выглядят как апострофы.For some iOS devices, the device names containing apostrophes can potentially use different characters that look like apostrophes. Так что поиск таких устройств является непростой задачей. Если результаты поиска не отображаются должным образом, убедитесь, что строка поиска содержит соответствующий символ апострофа.So searching for such devices is a little tricky - if you are not seeing search results correctly, ensure that the search string contains matching apostrophe character.

Управление устройством IntuneManage an Intune device

Администратор Intune может управлять устройствами, в которых MDM помечен как Microsoft Intune.If you are an Intune administrator, you can manage devices where MDM is marked Microsoft Intune. Если устройство не зарегистрировано в Microsoft Intune, параметр "Управление" будет неактивен.If the device is not enrolled with Microsoft Intune, the "Manage" option will be greyed out.

Включение или отключение устройства Azure ADEnable or disable an Azure AD device

Для включения или отключения устройств можно использовать два варианта:To enable or disable devices, you have two options:

  • Панель инструментов на странице все устройства после выбора одного или нескольких устройств.The toolbar on the All devices page after selecting one or more devices.
  • Панель инструментов после детализации на конкретном устройстве.The toolbar after drilling down into a specific device.

Важно!

  • Чтобы включить или отключить устройство, необходимо быть глобальным администратором или администратором облачных устройств в Azure AD.You must be a global administrator or cloud device administrator in Azure AD to enable or disable a device.
  • Отключение устройства предотвращает успешную проверку подлинности устройства в Azure AD, тем самым предотвращая доступ устройства к ресурсам Azure AD, защищенным с помощью условного доступа на основе устройств, или с использованием учетных данных Windows Hello для бизнеса.Disabling a device prevents a device from successfully authenticating with Azure AD, thereby preventing the device from accessing your Azure AD resources that are protected by device-based Conditional Access or using Windows Hello for Business credentials.
  • Отключение устройства приведет к отмене основного маркера обновления (PRT) и маркеров обновления (RT) на устройстве.Disabling a device will revoke both the Primary Refresh Token (PRT) and any Refresh Tokens (RT) on the device.
  • В Azure AD невозможно включить или отключить принтеры.Printers cannot be enabled or disabled in Azure AD.

Удаление устройства Azure ADDelete an Azure AD device

Удалить отключить устройство можно с помощью:To delete a device, you have two options:

  • Панель инструментов на странице все устройства после выбора одного или нескольких устройств.The toolbar on the All devices page after selecting one or more devices.
  • Панель инструментов после детализации на конкретном устройстве.The toolbar after drilling down into a specific device.

Важно!

  • Для удаления устройства необходимо назначить роль администратора облачного устройства, администратора Intune или глобального администратора в Azure AD.You must be assigned the cloud device administrator, Intune administrator, or global administrator role in Azure AD to delete a device.
  • Не удается удалить принтеры и устройства Windows для автопилота в Azure ADPrinters and Windows Autopilot devices cannot be deleted in Azure AD
  • Удаление устройства:Deleting a device:
    • оно больше не сможет обращаться к вашим ресурсам Azure AD;Prevents a device from accessing your Azure AD resources.
    • будут удалены все данные, связанные с устройством, например ключи BitLocker для устройств Windows;Removes all details that are attached to the device, for example, BitLocker keys for Windows devices.
    • вы не сможете отменить это действие (не рекомендуется выполнять без необходимости).Represents a non-recoverable activity and is not recommended unless it is required.

Если устройство управляется другим центром управления (например, Microsoft Intune), перед удалением устройства в Azure AD убедитесь, что устройство было очищено или снято с учета.If a device is managed by another management authority (for example, Microsoft Intune), make sure that the device has been wiped / retired before deleting the device in Azure AD. Узнайте, как управлять устаревшими устройствами перед удалением устройств.Review how to manage stale devices before deleting any devices.

Просмотр и копирование идентификатора устройстваView or copy device ID

С помощью идентификатора устройства можно проверять соответствующие сведения об устройстве или устранять неполадки, используя PowerShell.You can use a device ID to verify the device ID details on the device or using PowerShell during troubleshooting. Чтобы перейти к функции копирования, щелкните устройство.To access the copy option, click the device.

Просмотр идентификатора устройства

Просмотр и копирование ключей BitLockerView or copy BitLocker keys

Вы можете просматривать и копировать ключи BitLocker, чтобы пользователи могли восстанавливать зашифрованные диски.You can view and copy the BitLocker keys to allow users to recover encrypted drives. Эти ключи доступны только для устройств Windows, которые были зашифрованы и ключи которых были сохранены в Azure AD.These keys are only available for Windows devices that are encrypted and have their keys stored in Azure AD. Эти ключи можно найти при доступе к сведениям об устройстве, выбрав параметр " отобразить ключ восстановления".You can find these keys when accessing details of a device by selecting Show Recovery Key. При выборе пункта Показывать ключ восстановления создается журнал аудита, который можно найти в KeyManagement категории.Selecting Show Recovery Key will generate an audit log, which you can find in the KeyManagement category.

Просмотр ключей BitLocker

Чтобы просмотреть или копировать ключи BitLocker, необходимо быть владельцем устройства или пользователем, которому назначена по крайней мере одна из следующих ролей:To view or copy the BitLocker keys, you need to be either the owner of the device, or a user that has at least one of the following roles assigned:

  • Администратор облачного устройстваCloud Device Administrator
  • глобальный администраторGlobal Administrator
  • Администратор службы технической поддержкиHelpdesk Administrator
  • администратор службы Intune;Intune Service Administrator
  • Администратор безопасностиSecurity Administrator
  • Читатель сведений о безопасностиSecurity Reader

Фильтрация списка устройств (Предварительная версия)Device list filtering (preview)

Ранее можно было отфильтровать список устройств только по активности и включенному состоянию.Previously, you could only filter the devices list by activity and enabled state. Теперь эта предварительная версия позволяет фильтровать список устройств по следующим атрибутам устройства:This preview now allows you to filter the devices list by the following attributes on a device:

  • Включенное состояниеEnabled state
  • Состояние соответствияCompliant state
  • Тип соединения (присоединение к Azure AD, гибридное присоединение к Azure AD, зарегистрированные Azure AD)Join type (Azure AD joined, Hybrid Azure AD joined, Azure AD registered)
  • Метка активностиActivity timestamp
  • ОСOS
  • Тип устройства (принтеры, защищенные виртуальные машины, общие устройства, зарегистрированные устройства)Device type (Printers, Secure VMs, Shared devices, Registered devices)

Чтобы включить функцию фильтрации предварительной версии в представлении " все устройства ", сделайте следующее:To enable the preview filtering functionality in the All devices view:

Включить функцию предварительного просмотра фильтрации

  1. Войдите на портал Azure.Sign in to the Azure portal.
  2. Перейдите к Azure Active Directory > устройства.Browse to Azure Active Directory > Devices.
  3. Выберите баннер с текстом, попробуем улучшить фильтрацию новых устройств. Щелкните, чтобы включить предварительную версию.Select the banner that says, Try out the new devices filtering improvements. Click to enable the preview.

Теперь вы можете добавлять фильтры в представление " все устройства ".You will now have the ability to Add filters to your All devices view.

Загрузка устройств (Предварительная версия)Download devices (preview)

Администраторы облачных устройств, администраторы Intune и глобальные администраторы могут использовать параметр скачать устройства (Предварительная версия) для экспорта CSV-файла устройств на основе примененных фильтров.Cloud device administrators, Intune administrators, and Global administrators can use the Download devices (preview) option to export a CSV file of devices based on any applied filters. Если к списку не применяются фильтры, все устройства будут экспортированы.If no filters are applied to the list then all devices will be exported. Экспорт может выполняться в течение периода до одного часа в зависимости отAn export may run for a period of up to one hour depending on the

Экспортированный список содержит следующие атрибуты удостоверения устройства:The exported list includes the following device identity attributes:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Настройка параметров устройствConfigure device settings

Для управления удостоверениями устройств с помощью портала Azure AD эти устройства должны быть зарегистрированы или присоединены к Azure AD.To manage device identities using the Azure AD portal, those devices need to be either registered or joined to Azure AD. Администратор может управлять процессом регистрации и присоединения устройств, настроив следующие параметры устройства.As an administrator, you can control the process of registering and joining devices by configuring the following device settings.

Для просмотра параметров устройства или управления ими в портал Azure необходимо назначить одну из следующих ролей:You must be assigned one of the following roles to view or manage device settings in the Azure portal:

  • Глобальный администратор.Global administrator
  • Администратор облачного устройстваCloud device administrator
  • Глобальный читательGlobal reader
  • Читатель каталогаDirectory reader

Параметры устройств, связанные с Azure AD

  • Пользователи могут присоединять устройства к Azure AD . Этот параметр позволяет выбрать пользователей, которые могут регистрировать свои устройства в качестве устройств, присоединенных к Azure AD.Users may join devices to Azure AD - This setting enables you to select the users who can register their devices as Azure AD joined devices. Значение по умолчанию — All.The default is All.

Примечание

Пользователи могут присоединять устройства к параметрам Azure AD только в присоединение к Azure AD в Windows 10.Users may join devices to Azure AD setting is only applicable to Azure AD join on Windows 10. Этот параметр не применяется к гибридным устройствам, присоединенным к Azure AD, виртуальным машинам, присоединенным к Azure AD, в Azure и присоединенным к Azure AD устройствам с помощью режима саморазвертывания Windows , так как эти методы работают в контексте без пользователей.This setting does not apply to hybrid Azure AD joined devices, Azure AD joined VMs in Azure and Azure AD joined devices using Windows Autopilot self-deployment mode as these methods work in a userless context.

  • Дополнительные локальные администраторы на устройствах, присоединенных к Azure AD. Этот параметр позволяет выбрать пользователей, которым предоставляются права локального администратора на устройстве.Additional local administrators on Azure AD joined devices - You can select the users that are granted local administrator rights on a device. Эти пользователи добавляются в роль Администраторы устройств в Azure AD.These users are added to the Device Administrators role in Azure AD. По умолчанию права локального администратора предоставляются глобальным администраторам в Azure AD и владельцам устройств.Global administrators in Azure AD and device owners are granted local administrator rights by default. Этот параметр относится к возможностям выпуска Premium и доступен в таких продуктах, как Azure AD Premium или Enterprise Mobility Suite (EMS).This option is a premium edition capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).
  • Пользователи могут регистрировать свои устройства в Azure AD . необходимо настроить этот параметр, чтобы разрешить регистрацию устройств Windows 10 Personal, iOS, Android и MacOS в Azure AD.Users may register their devices with Azure AD - You need to configure this setting to allow Windows 10 personal, iOS, Android, and macOS devices to be registered with Azure AD. Если выбрано значение нет, устройства не могут регистрироваться в Azure AD.If you select None, devices are not allowed to register with Azure AD. Для регистрации с помощью Microsoft Intune или управления мобильными устройствами (MDM) для Microsoft 365 требуется регистрация.Enrollment with Microsoft Intune or Mobile Device Management (MDM) for Microsoft 365 requires registration. Если вы настроили одну из этих служб, выбрано значение все , и ни один из них недоступен.If you have configured either of these services, ALL is selected and NONE is not available.
  • Устройства, которые должны быть присоединены к Azure AD или зарегистрированы в Azure AD, требуют многофакторной проверки подлинности . Вы можете выбрать, требуется ли пользователям предоставлять дополнительный фактор проверки подлинности для присоединения или регистрации устройства в Azure AD.Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication - You can choose whether users are required to provide an additional authentication factor to join or register their device to Azure AD. Значение по умолчанию — No.The default is No. Рекомендуется требовать многофакторную проверку подлинности при регистрации или присоединении устройства.We recommend requiring multi-factor authentication when registering or joining a device. Перед включением Многофакторной идентификации для этой службы необходимо убедиться, что Многофакторная идентификация настроена для пользователей, которые регистрируют свои устройства.Before you enable multi-factor authentication for this service, you must ensure that multi-factor authentication is configured for the users that register their devices. Дополнительные сведения о различных службах многофакторной идентификации Azure AD см. в статье Приступая к работе с многофакторной идентификацией Azure AD.For more information on different Azure AD Multi-Factor Authentication services, see getting started with Azure AD Multi-Factor Authentication.

Примечание

Устройства, которые должны быть присоединены к Azure AD или зарегистрированы в Azure AD, используют параметры многофакторной проверки подлинности для устройств, присоединенных к Azure AD (с некоторыми исключениями) или зарегистрированных Azure AD.Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication setting applies to devices that are either Azure AD joined (with some exceptions) or Azure AD registered. Этот параметр не применяется к гибридным устройствам, присоединенным к Azure AD, виртуальным машинам, присоединенным к Azure AD, в Azure и присоединенным к Azure AD устройствам с помощью режима саморазвертывания Windows Pilot.This setting does not apply to hybrid Azure AD joined devices, Azure AD joined VMs in Azure and Azure AD joined devices using Windows Autopilot self-deployment mode.

Важно!

  • Мы рекомендуем использовать действие пользователя "регистрация или присоединение устройств" в условном доступе для применения многофакторной проверки подлинности для присоединения или регистрации устройства.We recommend using "Register or join devices" user action in Conditional Access for enforcing multi-factor authentication for joining or registering a device.
  • Если вы используете политику условного доступа для использования многофакторных аутентификацию, этот параметр необходимо установить в значение нет .You must set this setting to No if you are using Conditional Access policy to require multi-factor authencation.
  • Максимальное число устройств . Этот параметр позволяет выбрать максимальное число присоединенных к Azure AD или зарегистрированных устройств Azure AD в Azure AD.Maximum number of devices - This setting enables you to select the maximum number of Azure AD joined or Azure AD registered devices that a user can have in Azure AD. По достижении этой квоты пользователь больше не сможет добавлять дополнительные устройства до тех пор, пока не будет удалены одно или несколько существующих устройств.If a user reaches this quota, they are not be able to add additional devices until one or more of the existing devices are removed. Значение по умолчанию — 50.The default value is 50. Вы можете увеличить значение до 100, а если ввести значение выше 100, Azure AD установит его равным 100.You can increase the value up to 100 and if you enter a value above 100, Azure AD will set it to 100. Можно также использовать неограниченное значение, чтобы ограничить ограничения, кроме существующих квот.You can also use Unlimited value to enforce no limit other than existing quota limits.

Примечание

Параметр Максимальное число устройств применяется к устройствам, которые присоединены к Azure AD или зарегистрированы в Azure AD.Maximum number of devices setting applies to devices that are either Azure AD joined or Azure AD registered. Этот параметр не применяется к гибридным устройствам, присоединенным к Azure AD.This setting does not apply to hybrid Azure AD joined devices.

Журналы аудитаAudit logs

Действия устройств можно просмотреть в журналах действий.Device activities are available through the activity logs. Эти журналы включают действия, активируемые службой регистрации устройств и пользователями.These logs include activities triggered by the device registration service and by users:

  • создание устройства и добавление владельцев или пользователей устройства;Device creation and adding owners / users on the device
  • изменение параметров устройства;Changes to device settings
  • операции с устройством, например удаление или обновление устройства.Device operations such as deleting or updating a device

Анализ данных аудита следует начать с журналов аудита в разделе Действие на странице Устройства.Your entry point to the auditing data is Audit logs in the Activity section of the Devices page.

Список по умолчанию в журнале аудита содержит следующие сведения:The audit log has a default list view that shows:

  • дата и время выполнения действия;The date and time of the occurrence
  • целевые объекты;The targets
  • инициатор или субъект действия;The initiator / actor (who) of an activity
  • действие.The activity (what)

Снимок экрана таблицы в разделе "действие" на странице "устройства" с описанием даты, целевого объекта, субъекта и действия для четырех журналов аудита.

Можно настроить представление списка, нажав на Столбцы на панели инструментов.You can customize the list view by clicking Columns in the toolbar.

Снимок экрана, показывающий панель инструментов страницы "устройства". Элемент Columns выделяется.

Для сужения результатов до подходящего уровня вы можете отфильтровать данные аудита, используя следующие поля:To narrow down the reported data to a level that works for you, you can filter the audit data using the following fields:

  • КатегорияCategory
  • Тип ресурса действияActivity resource type
  • ДействиеActivity
  • Диапазон датыDate range
  • Целевой объектTarget
  • "Кем инициировано (субъект)".Initiated By (Actor)

Помимо применения фильтров можно выполнить поиск конкретных записей.In addition to the filters, you can search for specific entries.

Снимок экрана: элементы управления фильтра данных аудита, с полями Категория, тип ресурса действия, действие, диапазон дат, цель и поле поиска.

Следующие шагиNext steps

Как управлять устаревшими устройствами в Azure ADHow to manage stale devices in Azure AD

Enterprise State Roaming.Enterprise State Roaming